Aggregator

CVE-2022-42475

CVE-2023-27997

Nala Ginrut 写道： 代表着日本技术荣耀以及号成“能养活一亿人”、“有丰田在就有日本在”的丰田最近发布了一款开源游戏引擎，结果是在北美发布的，IP也归属北美了。所以大部份人看到的日本，是否真的是日本呢？本文从另一个侧面来探讨一下，知己知彼，搞不好还能从日本顺走一些亚洲科技企业出海的经验。

HackerNews 编译，转载请注明出处： 朝鲜相关信息技术人员目前正冒用他人真实 LinkedIn 账号申请远程岗位，标志着该欺诈计划出现新一轮升级。 安全联盟（SEAL）在社交平台 X 的多篇帖文中表示：“这些伪造账号通常带有认证工作邮箱与身份徽章，朝鲜特工希望借此让欺诈性求职申请显得真实合规。” 此类 IT 人员攻击是朝鲜长期运作的行动，特工使用被盗或伪造身份伪装成远程工作者，谋求入职西方及其他地区企业。 该威胁同样被广大网络安全社区以 Jasper Sleet、PurpleDelta 和 Wagemole 为代号进行追踪。此类行动的最终目的分为两方面：一是获取稳定收入来源为朝鲜武器计划提供资金，二是通过窃取敏感数据实施间谍活动，部分情况下还会进一步索要赎金以避免信息泄露。 上月，网络安全公司 Silent Push 将朝鲜远程人员计划称为该国政权的 “高流量收入引擎”，威胁行为者借此还能获取敏感代码库的管理员权限，并在企业基础设施中实现无文件持久化驻留。 区块链分析公司 Chainalysis 在 2025 年 10 月发布的报告中指出：“朝鲜 IT 人员在收到薪资后，会通过多种洗钱手法转移加密货币。” “这些 IT 人员及其洗钱同伙切断链上资金来源与去向关联的手段之一，是通过链间跳转和 / 或代币兑换。” 他们利用去中心化交易所、跨链桥协议等智能合约增加资金追踪难度。 为应对该威胁，建议怀疑身份被用于欺诈求职的个人在社交媒体账号发布警示声明，同时列明官方沟通渠道与身份验证方式（如公司邮箱）。 安全联盟表示：“务必验证求职者所列账号由其提供的邮箱实际控制。” “要求对方在 LinkedIn 与你建立联系这类简单核查，即可验证其对账号的所有权与控制权。” 该信息披露之际，挪威警察安全局（PST）发布公告称，过去一年已获悉 “多起” 挪威企业遭朝鲜 IT 人员欺诈计划影响的案件。 挪威警察安全局上周表示：“这些企业受骗雇佣了疑似朝鲜 IT 人员担任居家办公岗位。” “朝鲜相关人员通过此类岗位获得的薪资，大概率被用于资助该国武器及核武器计划。” 与 IT 人员计划同步推进的还有一项名为 “感染性面试” 的社会工程学攻击活动，攻击者在领英以招聘名义接触目标后，通过伪造招聘流程诱骗目标参与面试。 当伪装成招聘人员与招聘经理的攻击者要求目标完成技能评估并最终执行恶意代码时，攻击进入恶意阶段。 在一起模仿数字资产基础设施公司 Fireblocks 招聘流程、针对技术人员的招聘伪装攻击中，威胁行为者要求求职者克隆 GitHub 仓库并执行命令安装 npm 包，从而触发恶意程序运行。 安全研究员 Ori Hershko 表示：“该攻击还使用了 EtherHiding 新型技术，利用区块链智能合约托管与调取命令与控制基础设施，提升恶意载荷的抗查封能力。”“这些操作会触发隐藏在项目中的恶意代码执行。” 执行安装流程会导致恶意程序在受害者系统中下载并运行，为攻击者在目标设备中建立立足点。 据 Abstract Security 与 OpenSourceMalware 报告，近月监测到 “感染性面试” 攻击新变种利用恶意微软 VS Code 任务文件，执行伪装成网页字体的 JavaScript 恶意程序，最终部署 BeaverTail 与 InvisibleFerret 恶意软件，实现持久化访问并窃取加密货币钱包与浏览器凭据。 Panther 安全公司记录的该入侵活动另一变种，疑似通过恶意 npm 包，借助加载器部署名为 Koalemos 的模块化 JavaScript 远程访问木马（RAT）框架。 该远程访问木马会进入信标循环，从外部服务器获取任务并执行，发送加密响应，随机休眠一段时间后重复该流程。 它支持 12 种指令，可执行文件系统操作、文件传输、信息探测指令（如主机信息查询）及任意代码执行。 与该活动相关的部分程序包名称如下： ·     env-workflow-test ·     sra-test-test ·     sra-testing-test ·     vg-medallia-digital ·     vg-ccc-client ·     vg-dev-env 安全研究员 Alessandra Rizzo 表示：“初始加载器会先执行基于 DNS 的执行门控与活动日期验证，再下载并以独立进程启动远程访问木马模块。” Koalemos 会采集系统指纹，建立加密的命令与控制通信，并提供完整远程访问能力。 Labyrinth Chollima 分化为专业化作战单元 此次进展披露之际，CrowdStrike 证实活跃的朝鲜黑客组织 Labyrinth Chollima 已分化为三个目标与作战手法迥异的集群：核心Labyrinth Chollima、Golden Chollima（亦称 AppleJeus、Citrine Sleet、UNC4736）与Pressure Chollima（亦称 Jade Sleet、TraderTraitor、UNC4899）。 据 DTEX 评估，值得注意的是，Labyrinth Chollima 与安Andariel 、BlueNoroff 同属拉撒路集团（亦称 Diamond Sleet、Hidden Cobra）旗下子集群，其中 BlueNoroff 又分化出TraderTraitor 与 CryptoCore（亦称 Sapphire Sleet）。 尽管战术不断演进，这些攻击组织仍持续共享工具与基础设施，表明朝鲜网络作战机构内部存在集中协调与资源调配机制。Golden Chollima专注于在经济发达地区实施持续、小规模的加密货币窃取，Pressure Chollima 则通过高级植入程序针对大型数字资产持有机构实施高价值窃案。而Labyrinth Chollima 的行动以网络间谍活动为目的，借助 FudModule rootkit 等工具实现隐蔽作业。 该组织同样关联 “梦幻求职行动”，这是另一项以招聘为核心的社会工程学攻击，旨在投放恶意程序以搜集情报。 CrowdStrike 表示：“基础设施与工具的共享互通表明这些作战单元保持着紧密协同。” 三个攻击组织均使用高度相似的作战手法，包括供应链攻击、人力资源主题社会工程学、木马化合法软件以及恶意 Node.js 与 Python 程序包。     消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 网络安全研究人员披露了一款名为 Reynolds 的新型勒索软件家族细节，该勒索软件载荷内部直接内嵌了 BYOVD 组件，用于规避防御机制。 BYOVD 是一种攻击技术，指攻击者滥用合法但存在漏洞的驱动软件提升权限，并关闭终端检测与响应（EDR）方案，使恶意行为不被发现。多年来，该手段已被多个勒索软件组织采用。 Symantec 与 Carbon Black 威胁狩猎团队在报告中称：“通常，攻击中的 BYOVD 规避防御组件是独立工具，会在勒索软件载荷部署前先植入系统，用以关闭安全软件。”“但在本次攻击中，存在漏洞的驱动（NsecSoft NSecKrnl 驱动）直接与勒索软件本体捆绑在一起。” 博通网络安全团队指出，这种将规避防御组件与勒索软件载荷捆绑的手法并非首创，2020 年 Ryuk 勒索软件攻击、2025 年 8 月下旬知名度较低的 Obscura 勒索软件攻击事件中均出现过该手段。 在 Reynolds 攻击活动中，该勒索软件会释放存在漏洞的 NsecSoft NSecKrnl 驱动，并终止 Avast、CrowdStrike Falcon、帕洛阿尔托网络 Cortex XDR、Sophos（含 HitmanPro.Alert）、Symantec 终端保护等多款安全软件的相关进程。 值得注意的是，NSecKrnl 驱动存在已知安全漏洞（CVE-2025-68947，CVSS 评分 5.7），可被利用终止任意进程。该驱动已被威胁组织 Silver Fox 用于攻击活动，在投放 ValleyRAT 木马前关闭终端安全工具。 过去一年，该黑客组织曾使用 truesight.sys、amsdk.sys 等多款存在漏洞的合法驱动，通过 BYOVD 攻击解除安全软件防护。 将规避防御与勒索功能整合为单一组件，会加大防护方拦截攻击的难度，同时也让勒索软件附属团伙无需再将该步骤单独加入攻击流程。 Symantec 与 Carbon Black 表示：“本次攻击活动中值得注意的是，在勒索软件部署数周前，目标网络中已出现可疑的侧加载加载器。” 勒索软件部署次日，攻击者还在目标网络中投放了 GotoHTTP 远程访问程序，表明其意图维持对受感染主机的持久访问。 该公司称：“BYOVD 技术高效且依托合法签名文件，不易触发告警，因此深受攻击者青睐。” “将规避防御能力与勒索软件载荷捆绑的优势，也是攻击者采用该方式的原因，在于规避防御程序与勒索软件整合后更‘隐蔽’，无需在受害者网络中释放额外外部文件。” 该发现与近几周多项勒索软件相关动态相吻合： ·     一起大规模钓鱼攻击通过携带 Windows 快捷方式（LNK）附件的邮件运行 PowerShell 代码，下载 Phorpiex 加载器，进而投放 GLOBAL GROUP 勒索软件。该勒索软件的特点是所有恶意行为均在受感染系统本地执行，可适配物理隔离环境。同时该软件不会窃取数据。 ·     WantToCry 组织发起的攻击滥用合法虚拟基础设施管理服务商 ISPsystem 提供的虚拟机，大规模托管并投放恶意载荷。部分主机名已在 LockBit、Qilin、Conti、BlackCat、Ursnif 等多个勒索软件组织，以及 NetSupport RAT、PureRAT、Lampion、Lumma 窃密木马、RedLine 窃密木马等恶意软件活动的基础设施中被发现。 ·     据评估，防弹主机服务商利用 VMmanager 默认 Windows 模板的设计缺陷（每次部署均复用相同静态主机名与系统标识），将 ISPsystem 虚拟机租给其他犯罪组织，用于勒索软件攻击与恶意软件投放。这使得威胁组织可部署数千台主机名相同的虚拟机，加大溯源关停难度。 ·     DragonForce 组织推出 “企业数据审计” 服务，为附属团伙提供勒索敲诈支持，标志着勒索软件运营持续专业化。LevelBlue 公司表示：“该审计服务包含详细风险报告、通话脚本与高管信函等预制沟通材料，以及用于施压谈判的策略指导。” ·     DragonForce 以联盟模式运作，允许附属团伙打造自有品牌，同时依托其体系获取资源与服务。 ·     最新版 LockBit 5.0 勒索软件已被证实采用 ChaCha20 算法对 Windows、Linux、ESXi 环境中的文件与数据加密，一改 LockBit 2.0 与 3.0 使用的 AES 加密方式。此外，新版本新增数据销毁组件、加密前延迟执行选项、进度条加密状态追踪，优化反分析规避检测能力，并强化内存执行以减少磁盘痕迹。 ·     Interlock 勒索软件组织持续攻击英美机构，尤以教育行业为目标，其中一起攻击利用游戏反作弊驱动 GameDriverx64.sys 的零日漏洞（CVE-2025-61155，CVSS 评分 5.5），通过 BYOVD 技术关闭安全工具。该攻击还会部署 NodeSnake/Interlock 远程访问木马（又称 CORNFLAKE）窃取敏感数据，初始入侵途径为 MintLoader 感染。 勒索软件组织正逐步将目标从传统本地设备转向云存储服务，尤其是亚马逊云（AWS）配置不当的 S3 存储桶，攻击依托云原生功能删除、覆盖数据，暂停权限或窃取敏感内容，同时隐蔽作案。 据 Cyble 公司数据，GLOBAL GROUP 是 2025 年涌现的众多勒索软件组织之一，其余包括 Devman、DireWolf、NOVA、J group、Warlock、BEAST、Sinobi、NightSpire、The Gentlemen。ReliaQuest 数据显示，仅 2025 年第四季度，Sinobi 数据泄露网站公示数量增长 306%，成为仅次于 Qilin 与 Akira 的第三大活跃勒索软件组织。 研究员 Gautham Ashok 称：“与此同时，LockBit 5.0 卷土重来是第四季度最大变化之一，年末攻击量激增，该组织仅 12 月就公示了 110 家受害机构。”“这表明该组织可快速扩大攻击规模，将入侵转化为实质影响，并维持规模化附属团伙运作体系。” 新兴组织涌现与现有团伙合作结盟，共同推动勒索软件活动激增。2025 年勒索软件组织宣称实施 4737 起攻击，高于 2024 年的 4701 起。同期，仅窃取数据施压、不执行加密的攻击数量达 6182 起，较 2024 年增长 23%。 Coveware 在上周季度报告中称，2025 年第四季度平均赎金支付额为 591,988 美元，较第三季度暴涨 57%，主因是少数 “高额和解案”。该公司补充称，威胁组织可能回归 “数据加密” 本源，以更有效施压受害者支付赎金。   消息来源：thehackernews.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一个假冒的 7-Zip 网站正在分发这款流行压缩工具的木马化安装程序，该程序会将用户的计算机转变为住宅代理节点。 住宅代理网络利用家庭用户设备路由流量，旨在规避封锁并执行凭据填充、网络钓鱼和恶意软件分发等各种恶意活动。 有用户按照 YouTube 上的电脑装机教程操作时，从仿冒 7-Zip 项目的网站下载了恶意安装程序并进行上报，该新型攻击活动由此引发广泛关注。科技媒体 BleepingComputer 已证实，该恶意网站 7zip [.] com 目前仍可访问。 该威胁行为者注册了域名 7zip[.]com（撰写本文时仍活跃），很容易诱使用户误以为他们访问的是该合法工具的官网。 此外，攻击者还复制了原始 7-Zip 网站（ 7-zip.org）的文本并模仿了其结构。 网络安全公司 Malwarebytes 的研究人员对该安装程序进行分析后发现，其搭载的数字证书已被吊销。 该恶意版本同时包含正常 7-Zip 程序，可提供工具的常规功能。但该安装程序会释放三个恶意文件： ·     Uphero.exe – 服务管理器和更新加载器 ·     hero.exe – 主要代理负载 ·     hero.dll – 支持库 此外，攻击者使用 netsh 修改防火墙规则，以允许这些二进制文件建立入站和出站连接。 最终，主机系统会通过微软的 Windows 管理规范（WMI）和 Windows API 进行特征分析，以确定硬件、内存、CPU、磁盘和网络特性。收集到的数据随后被发送至 iplogger[.]org。 “虽然初步迹象表明其具有后门类能力，但进一步分析显示，该恶意软件的主要功能是代理工具，”Malwarebytes 在解释该恶意软件的操作目标时表示。“受感染的主机被注册为一个住宅代理节点，允许第三方通过受害者的 IP 地址路由流量。” 根据分析，hero.exe 从轮换的 C2 域拉取配置，然后在 1000 和 1002 等非标准端口上打开出站代理连接。控制消息使用轻量级 XOR 密钥进行混淆。 Malwarebytes 发现，该攻击活动的范围不止于 7-Zip 诱饵，还使用了针对 HolaVPN、TikTok、WhatsApp 和 Wire VPN 的木马化安装程序。 该恶意软件使用一个轮换 C2 基础设施，流量经过 Cloudflare 基础设施并通过 TLS 加密的 HTTPS 传输。 它还通过谷歌的解析器依赖 DNS-over-HTTPS，这降低了防御者监控标准 DNS 流量的可见性。 该恶意软件会检测 VMware、VirtualBox、QEMU、Parallels 等虚拟化环境及调试工具，规避安全分析行为。 Malwarebytes 在关注到独立安全研究人员对该恶意软件的分析及真实用途披露后，启动了相关调查。研究人员 Luke Acha 率先查明 Uphero/hero 恶意软件的用途。 研究人员 s1dhy 对基于异或加密的通信协议进行逆向分析与解码，证实了其代理行为。数字取证与应急响应（DFIR）工程师 Andrew Danis 将假冒 7-Zip 安装程序关联至这一假冒多款软件品牌的大型攻击活动。 Malwarebytes 公布了分析过程中发现的攻击指标（域名、文件路径、IP 地址）及主机相关特征数据。 建议用户不要点击 YouTube 视频或搜索推广链接中的网址，应在常用软件的官方下载域名添加书签。 消息来源: bleepingcomputer.com： 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 一款名为 ZeroDayRAT 的新型移动间谍软件攻击活动已被记录，其攻击目标同时覆盖安卓与 iOS 设备。 该跨平台工具可使攻击者持久获取用户的个人通信内容、精准定位数据及银行业务操作记录。 网络安全厂商 iVerify 发布的最新安全公告显示，该恶意软件的新颖之处在于其为操控者提供的控制权限广度，以及极低的设备感染门槛。 攻击者仅需诱骗受害者安装恶意二进制文件，即可攻陷目标设备，此类文件通常为安卓 APK 安装包或 iOS 恶意有效载荷。 短信钓鱼仍是最常用的诱骗手段，攻击者通过短信推送仿冒但极具迷惑性的应用链接。研究人员还观测到钓鱼邮件、假冒应用商店，以及通过 WhatsApp、Telegram 传播的恶意链接等攻击方式。 设备概览、用户画像构建与资金窃取 设备感染后，攻击者通过专属网页端控制面板，首先可查看目标设备的全面概览信息。 面板会展示硬件参数、操作系统版本、电池状态、归属国家、SIM 卡与运营商信息、设备锁定状态，以及按时间拆分的应用使用数据。 近期短信与实时行为时间轴同步展示，帮助攻击者快速构建用户行为习惯与联系人画像。 浏览概览界面即可查看截获的银行、移动通信运营商及个人联系人信息。该单一面板可呈现用户高频联系人、设备活跃时段及接入网络等关键信息。攻击者可基于该界面进一步获取更细分的数据流。 独立功能标签页搭载更多监控功能。全球定位系统（GPS）数据会在嵌入式谷歌地图界面呈现，并保留完整定位历史轨迹。 恶意软件可在不启动任何应用的前提下，被动抓取设备通知，包括 WhatsApp、Instagram、Telegram、YouTube 的提醒、未接来电及系统事件。 ZeroDayRAT 还搭载专用资金窃取模块： ·     加密货币窃取模块：可识别加密货币钱包，并替换为攻击者控制的剪贴板地址 ·     银行信息窃取模块：通过覆盖层攻击，针对网上银行应用、PhonePe 与谷歌支付等统一支付接口（UPI）平台，以及苹果支付、贝宝等支付服务实施窃取 持续性且持续升级的威胁 iVerify 表示，该平台构成了一套完整的移动设备攻陷工具套件，此类能力以往仅国家级主体可掌握。 如今该工具通过 Telegram 频道公开售卖，购买者可获取目标设备的定位、短信、资金、相机、麦克风及按键记录，覆盖安卓与 iOS 双系统。 iVerify 警示，员工设备被攻陷将引发凭据窃取、账户劫持与数据窃取等严重安全风险。 研究团队表示：“对企业而言，员工沦陷设备是凭据窃取、账户劫持与数据窃取的攻击向量。” “对个人而言，这意味着隐私完全泄露，直接面临财产损失风险。移动设备安全需与终端安全、邮件安全同等重视。” 研究团队补充，检测 ZeroDayRAT 这类威胁需要移动终端检测与响应（EDR）能力，该能力超越传统设备管理范畴，可在统一管理与自带设备办公（BYOD）环境中，融合设备端检测、移动取证与自动化响应能力。   消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

微信Linux版高危漏洞已修复 信创安全防护仍需重点强化

HackerNews 编译，转载请注明出处： 事件响应人员发布的新报告显示，朝鲜黑客针对一家加密货币公司的管理人员发起攻击，部署了多款独特恶意软件，并配合包括虚假 Zoom 会议在内的多种诈骗手段。 谷歌旗下的 Mandiant 发布了针对近期一起攻击事件的详细分析，该事件涉及朝鲜境内以牟利为目的的威胁组织 UNC1069，此次攻击因对受害者的高度定制化与针对性而尤为突出。 黑客最初通过 Telegram 联系受害者，使用的是另一名加密货币行业高管遭攻陷的账号。受害者被发送了一个 Calendly 链接，用以预约一场30分钟的会议，其中包含一个 Zoom 会议链接。 Mandiant 解释称：“受害者报告称，在通话期间，对方展示了一段另一家加密货币公司 CEO 的视频，该视频似乎是深度伪造的。”“尽管 Mandiant 未能在此特定实例中获取法证证据以独立验证 AI 模型的使用，但所报告的欺骗手段与之前公开报道的、具有类似特征的一起事件相似，该事件中也据称使用了深度伪造。” 当受害者进入会议后，黑客声称存在音频问题——诱使受害者在其设备上执行多项操作，据称是为了解决问题。这些问题是为掩盖 ClickFix 攻击而设的骗局——这是一种黑客通过让受害者尝试解决虚构的技术问题来在其设备上安装恶意软件的技术。 在此案例中，受害者被引导至一个网页，该网页提供了针对 macOS 系统和 Windows 系统的故障排除说明。在一系列命令中嵌入了一行启动感染链的代码。 受害者按照故障排除命令操作后，其 macOS 设备被感染。 首批恶意文件，Mandiant 称之为 WAVESHAPER 和 HYPERCALL，是后门程序，允许黑客安装其他工具以扩大其在受害者设备上的立足点。 Mandiant 表示，发现了威胁行为者使用的两种不同的数据窃取工具，分别称为 DEEPBREATH 和 CHROMEPUSH。DEEPBREATH 使黑客能够窃取凭证、浏览器数据、Telegram 中的用户数据以及 Apple 备忘录中的其他数据。该恶意软件将所有信息压缩成 ZIP 存档并外泄到远程服务器。 CHROMEPUSH 是一个恶意工具，被伪装成用于离线编辑 Google 文档的无害浏览器扩展。但该工具实际上会记录击键、跟踪用户名和密码、窃取浏览器 Cookie 等。 事件响应人员指出，这次攻击涉及“异常大量的工具被投放到针对单个个人的单一主机上”——这使他们相信这是一次旨在窃取尽可能多信息的特定攻击。 他们表示，其目的可能具有双重性：“既为了实施加密货币盗窃，也为了利用受害者的身份和数据推动未来的社会工程活动。” Mandiant 称自 2018 年以来一直在追踪 UNC1069，并观察到其攻击手法自此发生了显著演变——特别是近期针对中心化交易所、金融机构的软件开发人员、高科技公司以及风险投资基金中的个人。 Mandiant 解释道：“尽管与 2025 年其他组织（如 UNC4899）相比，UNC1069 对加密货币劫案的影响较小，但它仍然是一个活跃的威胁，以为获取经济利益为目标，针对中心化交易所以及实体和个人。”“Mandiant 观察到该组织在 2025 年活跃于针对金融服务和加密货币行业的支付、经纪、质押和钱包基础设施等垂直领域。” UNC1069 在对企业实体以及加密货币行业人员的攻击中使用了虚假的 Zoom 会议和各种 AI 工具。Mandiant 表示，已观察到这个朝鲜组织使用谷歌的 Gemini AI 工具进行行动研究、开发工具等。 上个月在联合国，美国官员表示，已有数十个国家遭遇了朝鲜黑客实施的加密货币盗窃。朝鲜被指控在 2025 年窃取了超过 20 亿美元的加密货币。   消息来源：therecord.media； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

HackerNews 编译，转载请注明出处： 研究人员监测到一起大规模钓鱼攻击活动，该活动投放长期存在的 Phorpiex 恶意软件，所使用邮件的主题为 “您的文档”，这一诱骗手段在 2024 至 2025 年被广泛使用。 此类邮件包含看似无害的文档附件，实则为经过武器化改造的 Windows 快捷方式文件，用于启动多级感染链。 网络安全公司 Forcepoint 发布的最新公告显示，该攻击活动依托 Windows 快捷方式（.lnk）文件作为初始入侵向量的持续有效性，用于投放 Global Group 勒索软件 —— 这是一款具备隐蔽性、可离线运行的勒索软件即服务（RaaS）工具。 Windows 快捷方式诱骗手段为何经久不衰 Windows 快捷方式文件仍是将单次点击转化为代码执行的可靠途径。攻击者通过 Document.doc.lnk 这类双后缀形式伪装文件，并利用 Windows 系统默认隐藏已知文件后缀名的设置。 视觉伪装同样发挥作用，攻击者复制合法 Windows 资源中的图标，强化文件为可信文档的假象。 快捷方式文件被打开后会启动 cmd.exe，进而运行 PowerShell 下载并执行第二阶段载荷。攻击过程不会显示安装界面，也不会向用户弹出明显告警，可在后台静默运行。 该感染链流程简洁但效果显著： ·     钓鱼邮件提供形似文档的附件 ·     快捷方式通过 cmd.exe 执行内嵌指令 ·     PowerShell 下载远程载荷并保存为 windrv.exe ·     该二进制文件在本地执行，无任何用户可见提示 本次攻击中获取的载荷关联 Phorpiex 恶意软件，这是一款 2010 年左右活跃的模块化恶意软件即服务（MaaS）僵尸网络，常用于分发勒索软件及其他次生恶意程序。 Global Group 的离线勒索软件模式 在本次攻击中，Phorpiex 最终投放 Global Group 勒索软件，该软件与多数现代勒索软件家族不同，可完全离线运行。 该恶意软件在本地生成加密密钥，不连接命令与控制（C2）服务器，也不执行数据窃取操作。 该设计使其可在隔离或物理隔离环境中运行，同时减少对易触发告警的网络流量的依赖。 该勒索软件采用 ChaCha20-Poly1305 算法加密文件，并为文件添加.Reco 后缀。恶意软件会在系统内释放名为 README.Reco.txt 的赎金通知，并将桌面壁纸替换为 GLOBAL GROUP 相关信息。 该恶意软件执行后会自删除，并清除系统卷影副本，增加取证分析与数据恢复难度。 Forcepoint 表示：“本次攻击表明，Phorpiex 这类老牌恶意软件家族搭配简单可靠的钓鱼手段，仍能保持极高攻击效率。” “攻击者利用 Windows 快捷方式这类常见文件类型，可低阻力获取初始访问权限，进而顺利投放 Global Group 勒索软件等高危害载荷。”     消息来源：infosecurity-magazine.com； 本文由 HackerNews.cc 翻译整理，封面来源于网络； 转载请注明“转自 HackerNews.cc”并附上原文

Утечка данных Ersten Group раскрыла адреса электронных почт клиентов сервисов для скрытой слежки.